Tra le pieghe legali dei contratti Cloud

Il mercato dei servizi di cloud computing è in evoluzione e rappresenta sicuramente il trend del momento: si moltiplicano le offerte e i servizi proposti dai cloud service providers e, parallelamente, aumenta l’interesse dei potenziali utenti, siano essi privati, professionisti, PMI, aziende enterprise o pubbliche amministrazioni.
In tale contesto e a fronte della crescente importanza che i servizi cloud cominciano a rivestire in azienda, l’adozione di questo tipo di tecnologie impone di tener conto, oltre alle valutazioni di carattere tecnico ed economico, anche di una serie di problematiche di carattere più strettamente legale, che rendono tanto più opportuno un adeguato supporto legale alla contrattualizzazione, quanto più siano strategici i processi aziendali che si intende conferire e gestire in cloud.
Le predette problematiche sono fondamentalmente riconducibili, per un verso, alle insidie spesso presenti nella contrattualistica sottostante all’offerta di questo genere di servizi e, per altro verso, alle esigenze di compliance rispetto alla normativa sul trattamento dei dati personali, anche (ma non solo) in relazione alla frequentissima ipotesi di trasferimento dei dati al di fuori dello SEE (Spazio Economico Europeo).
Sotto il primo profilo, la prassi contrattale che, già da alcuni anni, si è consolidata sul mercato denota una marcata asimmetria negoziale, informativa e contrattuale tra cloud service provider ed utente del servizio, il quale, nella maggior parte dei casi (sicuramente nel mondo consumer; con frequenza più o meno rilevante nel mondo business), si trova costretto ad interfacciarsi con accordi molto rigidi (e, in molti casi, non tutelanti), a fronte dei quali il potere negoziale che egli è in grado di dispiegare è pressoché nullo, o comunque estremamente limitato.
Tuttavia, se è vero che i contratti cloud presentano alcune criticità che molto difficilmente possono essere mitigate con la negoziazione, in termini di deroghe negoziali rispetto ai testi di partenza, altrettanto vero è che conoscere approfonditamente il contenuto dell’accordo che si sta contrattualizzando, permette di valutare con cognizione di causa se il servizio che di tale accordo costituisce l’oggetto è adatto rispetto alle specifiche esigenze di business dell’azienda che dovrà fruirne.
Preso, quindi, atto della diversità dei rapporti di forza che caratterizza l’offerta generalizzata di un servizio “preconfezionato”, l’approccio al cloud deve basarsi un un’attenta analisi delle criticità, nella prospettiva di una valutazione dei rischi sottostanti, di previsione dei possibili impatti negativi di eventuali disservizi e di un bilanciamento complessivo tra costi e benefici.
Sotto il secondo profilo, occorre poi costantemente presidiare il corretto adempimento degli obblighi di legge in materia di trattamento dei dati personali, tenendo presente che, nella maggior parte dei casi, in ottica privacy, il cliente dovrà essere considerato quale titolare del trattamento, con il conseguente onere di nominare il fornitore quale responsabile ex art. 29 d. lgs. 196/03.
Un ulteriore aspetto di fondamentale importanza di cui occorre tener conto in sede di adempimento della normativa privacy riguarda la problematica del flusso transfrontaliero dei dati caricati sulla “nuvola”, fenomeno che in tale settore costituisce praticamente la regola. Infatti, la normativa italiana ed europea definiscono regole particolarmente restrittive in ordine al trasferimento dei dati personali al di fuori dell’Unione Europea, in linea di principio vietando il trasferimento “anche temporaneo” verso uno Stato extraeuropeo, a meno che l’ordinamento giuridico del Paese di destinazione o di quello di transito dei dati non garantisca un livello di protezione adeguato.
Anche sotto questo profilo, pertanto, il fruitore di servizi cloud dovrà conoscere e tenere in debito conto il luogo in cui risiedono i dati di propria titolarità e le normative previste dai Paesi extra UE per il trattamento degli stessi, assicurandosi sempre che il trasferimento dei dati all’estero sia legittimo alla luce delle specifiche misure contrattuali e legali previste dalla normativa.